김승남 의원, "스마트 일회용비밀번호, 보안위험에 취약"

 
 
기사공유
금융거래 안전성을 위해 도입된 스마트 일회용비밀번호(OTP)가 실제로는 보안위험이 매우 높은 제품이라는 주장이 나왔다.

새정치민주연합 김승남 의원은 15일 일부 시중은행에서 사용중인 스마트 OTP가 국제 공통 카드규격(ISO)과 금융결제원의 칩 규격조차 따르지 않은 제품이라며 이같이 지적했다.

김승남 의원에 따르면 스마트 OTP 공급자로 지정한 A사의 제품이 실제로는 금융결제원의 칩 규격서를 따르지 않고 있다. A사는 현재 NH농협은행과 KB국민은행, 우리은행, 부산은행에 스마트 OTP를 납품하고 있다.

사진=김승남 의원실

김 의원측은 "A사는 금융결제원의 규격서뿐만 아니라 스마트카드와 단말기, 시스템 간 통신을 위한 기본 명령어에 대한 국제 표준인 ISO7816-4도 무시하고 있다"며 "스마트 OTP에 내장된 카드 프로그램은 개발자만 알고 있는 고유한 것이기 때문에 프로그램의 투명성을 보장하기 위해 규격서에서 지정하는 이외의 동작을 하면 안 된다"고 꼬집었다.

카드프로그램 테스트는 규격서에서 지정하는 이외의 명령어가 다른 용도로 악용 될 가능성이 있기 때문에 엄격히 규제를 하고 있다.

그러나 A사의 스마트 OTP카드는 특정 명령어가 규격서에서 요구하는 이외의 동작을 하고 있어 스마트 OTP카드가 실제로 어떤 위법 행동을 하는지 개발자 이외에는 아무도 알 수 없게 돼 있다는 게 김 의원측의 설명이다.

김 의원측은 또 금융결제원과 은행들은 이러한 사실을 알면서도 스마트OTP 서비스를 강행하고 있어 앞으로 심각한 문제가 발생할 수 있다고 지적했다.

금융결제원 칩 규격 명령어의 경우 A업체의 스마트OTP는 모든 칩 명령어에 대해 동작되지 않고 유일하게 규격을 따른 상호인증(Mutual Authentication) 명령어의 경우도 오직 84 82 00 00 18만 응답해야 한다.

하지만 다른 입력 값에서도 작동하고 있어 실제로 어떤 명령어를 첨부했는지 아무도 알 수 없도록 했다. 칩 규격서에 없는 알 수 없는 명령어가 8~9가지가 들어 있어 보안상 치명적일 수 있는 셈.

인력 및 비용 낭비라는 지적도 제기됐다. KB국민은행, 부산은행 등 금융결제원으로부터 인증 받은 모든 스마트 OTP 개발사가 각기 다른 규격을 쓰고 있다. 이를 사용하는 은행은 상호 연동을 위해 모든 스마트 OTP 개발사의 인터페이스 모듈을 가지고 있어야하기 한다.

결국 스마트 OTP 개발사가 늘어날 때마다 새로운 프로그램을 수용하기 위해 모든 은행이 관련 프로그램을 수정해야 하는 일이 발생해 추가되는 인력 및 소요 비용의 낭비를 되풀이 하게 된다는 주장이다.

김승남 의원은 "금융분야의 경쟁력을 확보하기 위해서는 다양한 핀테크 기술들이 시장에서 활용될 수 있도록 해야 한다"면서 "이를 위해 기술이 보안상 문제가 없도록 공통규격과 공통규격에 맞는지 여부를 테스트 할 수 있는 인증시험 기반을 구축해야 한다"고 말했다.
 

성승제 bank@mt.co.kr

금융을 사랑하고 이해하기 위해 노력하는 금융 출입 기자입니다. 독자님들의 아낌없는 조언 부탁드립니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%


  • 코스피 : 2092.40상승 4.3418:03 11/16
  • 코스닥 : 690.18상승 8.818:03 11/16
  • 원달러 : 1128.50하락 0.718:03 11/16
  • 두바이유 : 66.76상승 0.1418:03 11/16
  • 금 : 66.49상승 1.118:03 11/16
  • image
  • image
  • image
  • image
  • image

커버스토리

정기구독신청 독자의견